潛在攻擊者如何發現 IPv6 地址和 AAAA 名稱?
每天都會收到大量針對 SSH 和 SMTP 等服務的常用使用者名/密碼的小型黑客攻擊嘗試,這是相當標準的。我一直認為這些嘗試是使用 IPv4 的“小”地址空間來猜測 IP 地址。我注意到,儘管我的域具有鏡像每個 A 名稱記錄的 AAAA 名稱記錄,並且所有 IPv4 服務也對 IPv6 開放,但我在 IPv6 上的黑客攻擊嘗試為零。
假設一個公共 DNS(AWS 路由 53)有一個模糊的子域指向一個合理隨機的 /64 後綴;是否可以遠端發現 IPv6 地址和 / 子域,而無需嘗試 /64 位前綴中的每個地址或很長的常用名稱列表中的每個子域?
我當然知道爬網尋找列出的(子)域名很簡單。我也知道同一子網上的機器可以使用 NDP。我對 DNS 或 IPv6 的底層協議是否允許遠端發現/列出未知域和地址更感興趣。
惡意機器人不再猜測IPv4 地址。他們只是嘗試所有。在現代系統上,這可能只需要幾個小時。
正如您所猜測的那樣,使用 IPv6,這已經不可能了。地址空間大得多,甚至不可能在人的一生中暴力掃描單個 /64 子網。
如果機器人要像在 IPv4 上一樣繼續盲目掃描 IPv6,它們將不得不變得更有創造力,而惡意機器人操作員將不得不習慣於在找到任何機器之間等待更長的時間,更不用說易受攻擊的機器了。
對壞人來說是幸運的,對其他人來說也是不幸的,IPv6 的採用比它真正應該的要慢得多。IPv6 已有 23 年曆史,但僅在過去五年左右的時間裡才被大量採用。但是每個人都在保持他們的 IPv4 網路活躍,而且很少有主機是純 IPv6 的,所以惡意 bot 運營商幾乎沒有動力進行切換。他們可能不會這樣做,直到大量放棄 IPv4,這可能不會在未來五年內發生。
我預計,當惡意機器人最終確實遷移到 IPv6 時,盲目猜測可能不會對惡意機器人產生任何影響,因此他們將不得不轉向其他方式,例如暴力破解 DNS 名稱,或有針對性地暴力破解一小部分每個子網。
例如,一個常見的 DHCPv6 伺服器配置預設提供
::100地址::1ff。在整個 /64 中,只有 256 個地址可供嘗試。重新配置 DHCPv6 伺服器以從更大範圍內選擇地址可以緩解此問題。並且為 SLAAC 使用修改後的 EUI-64 地址將搜尋空間減少到 2 24乘以分配的 OUI 的數量。雖然這是超過 1000 億個地址,但遠遠少於 2 64 個。隨機機器人不會費心搜尋這個空間,但州級惡意行為者會針對有針對性的攻擊,特別是如果他們能夠對可能正在使用的 NIC 做出有根據的猜測,以進一步減少搜尋空間。為 SLAAC 使用 RFC 7217 穩定的隱私地址很容易(至少在支持它的現代作業系統上)並減輕了這種風險。
RFC 7707描述了在 IPv6 網路中執行偵察以定位 IPv6 地址的其他幾種方法,以及如何減輕這些威脅。